Cisco Cisco Identity Services Engine 1.3 设计指南
© 2015 思科系统公司
第
57 页
安全访问操作指南
以下探测功能可用于确定终端的
IP 地址:
• 通过 Framed-IP-Address 运行的 RADIUS 探测功能
• 通过 cdpCacheAddress 运行的 SNMP 探测功能
• 通过 SourceIP 运行的 HTTP 探测功能
• 通过 SourceIP 运行的 HTTP 探测功能
• 通过 dhcp-requested-address 运行的 DHCP 探测功能
除了要求拥有已知
IP 地址,使用反向 DNS 查找还有很多其他要求:
• 在 DNS 中,每个终端都要求有一个地址或 A 记录(主机名)以及一个指针或 PTR 记录
(
IP 地址)。
• 假设终端使用 DHCP,则必须在 DHCP 服务器上配置动态 DNS (DDNS)。
• 根据 DHCP 服务器配置,终端可能需要配置为请求动态更新。
• ISE 策略服务节点必须配置为解析动态更新的 DNS 服务器提供的地址。
• 根据 DHCP 服务器配置,终端可能需要配置为请求动态更新。
• ISE 策略服务节点必须配置为解析动态更新的 DNS 服务器提供的地址。
• 假设 DDNS 已配置并正常运行,则 DNS 探测功能可以检索 FQDN。否则,如果反向查找失败,
就不会添加任何属性。
如果为特定终端部署了标准主机名、域名或
FQDN 命名约定,则可以使用这些属性对终端分类。例如,如果
所有
Windows XP 客户端都分配了一个名称(例如 jsmith-winxp),则在某个条件下可以使用 host-name 属性
或
client-fqdn 属性来给 Windows CP 终端分类。同样地,如果此约定为将公司终端的主机名填充为 jsmith-
corp-dept 之类的内容,则可以将其用于验证公司资产。
必须注意,不要将配置文件属性混淆为身份,但是属性可以提高确定终端为某个类型的可信度。例如,授权
策略可用于分析,拒绝向
策略可用于分析,拒绝向
PC 的 host-name 属性(如匹配的终端身份组所示)不包含预期值的员工授予完全访
问权限。注:本指南将在后面章节论述配置文件和终端身份组之间的关系。
如此处论述所示,可能会可以使用其他探测功能收集
FQDN 或其组件。因此,如果已经可以通过其他方式获
得相同的信息或部分
FQDN,则可能不必要使用 DNS 探测功能。但是,DDNS 可以配置得更安全,从而使得
通过
DHCP 客户端数据包检索的信息没有向受信任的 DNS 服务器进行反向查找那么可靠。
图
44 显示的是使用 DNS 探测功能的示例拓扑。如图所示,ISE 策略服务节点使用多种方法中的一种方法识别
终端的
IP 地址。然后 PSN 发起对 IP 地址的反向查找。如果收到响应,则 ISE 分析服务会使用 FQDN 属性更
新终端记录。